Controles de criptografia de VPC com o Amazon Redshift - Amazon Redshift
Como funcionaRequisitosMigraçãoConsiderações

O Amazon Redshift não permitirá mais a criação de UDFs do Python a partir do Patch 198. As UDFs do Python existentes continuarão a funcionar normalmente até 30 de junho de 2026. Para ter mais informações, consulte a publicação de blog .

Controles de criptografia de VPC com o Amazon Redshift

O Amazon Redshift comporta os controles de criptografia de VPC, um recurso de segurança que ajuda você a aplicar a criptografia em trânsito a todo o tráfego dentro e entre VPCs em uma região. Este documento descreve como usar os controles de criptografia de VPC com clusters e grupos de trabalho sem servidor do Amazon Redshift.

Os controles de criptografia de VPC fornecem controle centralizado para monitorar e aplicar a criptografia em trânsito em suas VPCs. Quando habilitado no modo de imposição, ele garante que todo o tráfego da rede seja criptografado na camada de hardware (usando o AWS Nitro System) ou na camada de aplicação (usando TLS/SSL).

O Amazon Redshift se integra aos controles de criptografia de VPC para ajudar você a atender aos requisitos de conformidade de setores, como saúde (HIPAA), governo (FedRAMP) e financeiro (PCI DSS).

Como controles de criptografia de VPC funcionam com o Amazon Redshift

Os controles de criptografia de VPC operam em dois modos:

  • Modo de monitor: fornece visibilidade do status de criptografia dos fluxos de tráfego e ajuda a identificar recursos que permitem tráfego não criptografado.

  • Modo de imposição: impede a criação ou o uso de recursos que permitem tráfego não criptografado dentro da VPC. Todo o tráfego deve ser criptografado na camada de hardware (instâncias baseadas em Nitro) ou na camada de aplicação (TLS/SSL).

Requisitos para usar controles de criptografia de VPC

Requisitos do tipo de Instância

O Amazon Redshift exige instâncias baseadas em Nitro para comportar os controles de criptografia de VPC. Todos os tipos modernos de instância do Redshift comportam os recursos de criptografia necessários.

Requisitos de SSL/TLS

Quando os controles de criptografia de VPC estão habilitados no modo de imposição, o parâmetro require_ssl deve ser definido como true e não pode ser desabilitado. Isso garante que todas as conexões do cliente usem conexões TLS criptografadas.

Migração para controles de criptografia de VPC

Para clusters e grupos de trabalho existentes

Você não pode habilitar os controles de criptografia de VPC no modo de imposição em uma VPC que contém clusters ou grupos de trabalho sem servidor existentes do Redshift. Consulte as seguintes etapas para usar controles de criptografia se você tiver um cluster ou um grupo de trabalho existente:

  1. Crie um snapshot do seu cluster ou namespace existente.

  2. Crie uma VPC com os controles de criptografia de VPC habilitados no modo de imposição.

  3. Restaure do snapshot para a nova VPC usando uma das seguintes operações:

    • Para clusters provisionados: use a operação restore-from-cluster-snapshot.

    • Para tecnologia sem servidor: use a operação restore-from-snapshot em seu grupo de trabalho.

Ao criar clusters ou grupos de trabalho em uma VPC com controles de criptografia habilitados, o parâmetro require_ssl deve ser definido como true.

O Amazon Redshift exige instâncias baseadas em Nitro para comportar os controles de criptografia de VPC. Todos os tipos modernos de instância do Redshift comportam os recursos de criptografia necessários.

Requisitos de SSL/TLS

Quando os controles de criptografia de VPC estão habilitados no modo de imposição, o parâmetro require_ssl deve ser definido como true e não pode ser desabilitado. Isso garante que todas as conexões do cliente usem conexões TLS criptografadas.

Considerações e limitações

Ao usar controles de criptografia de VPC no Amazon Redshift, pense no seguinte:

Restrições de estado da VPC

  • A criação de clusters e grupos de trabalho fica bloqueada quando os controles de criptografia de VPC estão no estado enforce-in-progress.

  • Você deve esperar até a VPC chegar ao modo enforce antes de criar recursos.

Configuração do SSL

  • Parâmetro require_ssl: sempre deve ser true para clusters e grupos de trabalho criados em VPCs com criptografia aplicada.

  • Depois que um cluster ou grupo de trabalho é criado em uma VPC com criptografia aplicada, não é possível desativar require_ssl por toda a vida útil.

Disponibilidade de regiões

Esse recurso não está disponível no modo de imposição com o Amazon Redshift sem servidor nas seguintes regiões:

  • América do Sul (São Paulo)

  • Europa (Zurique)